Статьи об слабых местах и разборов взломов астериска

[denklu]

Может кто натыкался на свежий интересный материал?
После первого взлома 4 года назад, постарался в силу своих способностей применить, что нашел, но на прошлой неделе опять взломали.
опять все проверяю и пытаюсь найти где был "пробой"

Если кому интересно:
FreePBX 2.9 стоит на внешнем IP
стоял Fail2ban, но, судя по логам, за три дня до взлома перестал работать.
iptables
порты 5060, 5061 открыты без ограничений (сотрудники в разных городах, часто на динамических IP, плюс много командировок, отпусков по всему миру).
SSH изменен и также как и web имеет доступность только с одного IP.
пароли SIP, SSH, WEB 16-ти значные случайные с регистрами и символами.
разрешение только на один звонок с одной линии.
Три последние дня логи забиты попытками регистраций со случайным перебором номеров и паролей (похоже для отвода глаз)
За пароли я спокоен, а вот то, что Fail2ban перестал работать, меня сильно расстроило.
ну и то что моменту ключевого подключения предшествовали строки:
Registration from '<sip:xxxx@xxx.xxx.xxx.xxx>' failed for '37.8.88.51' - Wrong password
с точным перебором моих внутренних номеров, по одной строке на номер (последний IP каждый раз был новый)
то есть они имели практически полный список моих внутренних номеров (кстати строка "alwaysauthreject = yes" присутствует).
Короче, от разорения спасло только то, что SIP провайдер работает только на авансовой основе и деньги мы ему перечисляем часто, но понемногу.
звонки были с 3 до 4 утра и остатка хватило всего на несколько звонков в Боснию и на Мальдивы.

Сейчас ввел
iptables -F
iptables -A INPUT -p tcp --dport хх -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
поменял все пароли sip web ssh и по мере необходимости добавляю IP и диапазоны для 5060 строкой типа:
iptables -A INPUT -p udp -m udp -s 123.123.123.123 --dport 5060 -j ACCEPT
Пытаюсь анализировать.

Слабая надежда, то что пароль утянули все-таки один. Со старенького аппарата SoundPoint IP 320, на котором стояли дефолтные пароли доступа, но он был во внутренней сети, да и пароль sip там не должен хранится в открытом виде.
Хотя отказ Fail2ban и наличие списка внутренних номеров у злоумышленников указывает на глобальную брешь в защите.

[denklu]

да кстати была еще одна попытка, на другом аппарате, который имел прямой IP. Подобрали 8-ми значный цифровой пароль и прописали обратный вызов. тогда ничего не получилось, т.к. был прописан номер типа 00ХХХХХХХХХ и в то время sip-оператор не принимал такие номера, а сейчас как назло разрешил для совместимости и злоумышленникам даже не пришлось диалплан менять.

[virus_net]

Так вызовы в итоге совершил валидный внутренний номер ?

кстати строка "alwaysauthreject = yes" присутствует

То что присутствует это хорошо, а вот работает ли ? Проверяли ?
А allowguest в каком состоянии ?

Подобрали 8-ми значный цифровой пароль и прописали обратный вызов

Всмысле через 302 redirect ?
Этого можно избежать, добавив в команду Dial опцию i.

Наличие списка внутренних номеров у злоумышленников указывает на глобальную брешь в защите

Если скинете ваш IPшник в ЛС, то посканю вас.

[denklu]

Так вызовы в итоге совершил валидный внутренний номер ?

Да, реальный и только один и только в один поток

кстати строка "alwaysauthreject = yes" присутствует

То что присутствует это хорошо, а вот работает ли ? Проверяли ?

сторок типа [2015-10-03 08:57:45] NOTICE[3102] chan_sip.c: Sending fake auth rejection for device 800<sip:800@xxx.xxx.xxx.xxx>;tag=eddc006b
в логе полно, если это то конечно.

А allowguest в каком состоянии ?

allowguest=no
хотя без регистрации звонки все-таки проходят.

Подобрали 8-ми значный цифровой пароль и прописали обратный вызов

Всмысле через 302 redirect ?

у циски в интерфейсе есть поле "Cfwd All Dest:" вот туда и прописали и попытки звонков реально были, но не достигли цели из-за несовпадения диалплана

[denklu]

А наверное зря я свой Fail2ban обидел. в ту ночь он более 600 банов выдал, просто за ту пару секунд, которые требовались на реакцию Fail2ban, успевало пройти до 50-ти попыток регистрации. Плюс параллельно работало около 20 "осторожных" сканеров, они делали по три регистрации с паузой в несколько минут. Вот у меня лог и забился настолько, что я подумал об отказе Fail2ban.
Да и со списком абонентов, наверное погорячился, я отфильтровал лог по "Wrong password", а эта строка появляется только на существующих абонентах. На самом деле перебирали просто от 100 до 10000 по одной попытке и похоже проверяли только один пароль.

[Zavr2008]

Registration from '<sip:xxxx@xxx.xxx.xxx.xxx>' failed for '37.8.88.51' - Wrong password

alwaysauthreject=yes не стоит, а зря.

Потом, чтобы не было попадоса - просто для сотрудников с удаленным доступом делаете запрет международки.
Для остальных пиров - четкие локальные deny/permit.

Я вообще не понимаю, зачем для ТфОП мн номера оставляют, им sipnet с мтт мало??

[denklu]

alwaysauthreject=yes прописывал сразу, счас поищу как проверить.
"просто для сотрудников с удаленным доступом делаете запрет международки"
международка нужна всем, все раскиданы по разным офисам в основном офисе только 10 человек, все остальные на удаленке.
"четкие локальные deny/permit" тоже проблематично - у многих динамические IP. У многих на смартфонах с андроидами работает встроенный клиент (а у них как правило динамический IP от оператора сотовой)
"Я вообще не понимаю, зачем для ТфОП мн номера оставляют, им sipnet с мтт мало??" в каком смысле ТФОП? если про городскую сеть, то там конечно все отключено, а так аналог sipnet заведен в астериск. вот на нем и обнулился счет. или вы предлагаете sipnet каждому индивидуально подключать?
хотя даже на нашем аналоге sipnet включена фильтрация по регионам, разрешение стоит практически только на Евразию, кстати спасибо за напоминание, нужно позвонить в поддержку и спросить каким образом Мальдивы относятся к Евразии.

[Zavr2008]

международка нужна всем

Но не через транки местных городских провайдеров.
ну и международные номера - в Сомали всякие и Гондурас - нужно прямо статикой в диалплане отправлять на hangUp сразу.
и логично по предоплате международку ставить, не постоплате - даже при наличии взлома попадос на строко дозированную сумму.
Еще логично для каждого sip пира сотрудника ограничить кол-во одновременных. В этом случае ценность для фродеров - минимальна.

alwaysauthreject=yes прописывал сразу, счас поищу как проверить.

Если оно бы стояло, не было бы Wrong password - сканер бы не мог найти рабочие экстены и бомбил наугад. А так он их уже нашел и начал бомбить целенаправленно брутом на валидные экстены.

Вообще же если есть недоверие к fail2ban, можно банить и тем-же микротиком по Layer7 фильтру SIP на register.
Плюс fail2ban не всё может забанить в случае, если chan_sip не пропатчен и старенький - там будет 127.0.0.1 итп..

[ded]

Пробой был через 4-жды дырявый модуль Recordings и/или FOP.
Закройте вообще доступ на 80-й портдля всех, сканеры обнаруживают сначала freePBX и пробивают его через php inject
Потом начинают бомбить на 5060.
Если глубоко долбанули - смотрите manager.conf - там доступ должен быть только permit 127.0.0.1
Если там 0.0.0.0 - уже расковыряли.

[virus_net]

alwaysauthreject=yes прописывал сразу, счас поищу как проверить.

Если оно бы стояло, не было бы Wrong password - сканер бы не мог найти рабочие экстены и бомбил наугад

ТС скинул мне в ЛС свой IP, я его поканировал слегка и:
- alwaysauthreject у ТС точно в "yes", т.к. на REGISTER приезжает ответ 401 Unauthorized
- fail2ban точно работает, т.к. после сканов на внутренние IP меня заблочило
- извне доступен Asterisk Call Manager, что не хорошо и "bindaddr = 127.0.0.1" в manager.conf точно не помешал был, ну или четкое соответствующее правило reject на порт 5038 в firewall
- стандартные пароли от manager не подходят, попытки перебора пароля к manager отслеживаются, т.к. меня опять забанило

Мое ИМХО, что точка проникновения, если таковая была, находится не в самом Asterisk.
То что в Elastix и FreeBPX есть дыры не является секретом, но я не изучал данный вопрос, т.к. не использую данные системы. Вероятно тут найдется знающий данный вопрос человек, который сможет подсказать известные дыры в Elastix, ну или гуглить самому.
Вот собственно уже подсказали:

дырявый модуль Recordings и/или FOP

Воспользуйтесь советом:

Закройте вообще доступ на 80-й портдля всех

Так же открыт порт 3306 (MySQL), я бы так же запретил доступ к порту извне.